Afgelopen maandag1 legde een cyberaanval de websites van vier Nederlandse provincies plat. Terwijl die aanval nog in volle gang was, werd ze in een Telegram-groep opgeëist door de pro-Russische hackgroep NoName, blijkt na onderzoek van Investico. De DDoS-aanval, die de websites van provincies Noord-Brabant, Groningen, Noord-Holland en Overijssel goeddeels onbereikbaar maakte, zou een vergelding zijn voor nieuwe steunbeloften aan Oekraïne. ‘Terwijl Nederland vliegtuigen overdraagt aan Oekraïne, sturen wij onze ‘DDoS-groeten,’ schrijft de hackersgroep op Telegram.2
Investico verschafte zich toegang tot die Telegramgroep,3 waarin dagelijks cyberaanvallen op westerse websites worden opgeëist. Het hackerscollectief, voluit 'NoName057(16)', startte toen Rusland Oekraïne binnenviel in 2022. Naar eigen zeggen werd het opgericht om aanvallen uit te voeren op ‘Oekraïense propagandamedia’.4 Inmiddels verlegt het zijn acties ook naar NAVO-landen, waaronder Nederland. Dat doet de groep met zogenaamde DDoS-aanvallen: gecoördineerde acties waarbij honderden computers tegelijkertijd een website bestoken met verzoeken, zodat deze overbelast raakt en voor gewone gebruikers onbereikbaar wordt.
‘Om half acht in de ochtend merkten we dat de website eruit lag,’ vertelt woordvoerder Bob Bakker van de provincie Noord-Holland over de aanval.5 ‘Dit duurde tot ongeveer vijf uur ‘s middags. Onze interne systemen werkten wel, maar inwoners konden bijvoorbeeld geen subsidie aanvragen.’ Groningen laat weten dat een DDoS-aanval bijna dagelijks voorkomt, maar dat deze meestal afgeslagen wordt door haar zogenaamde ‘DDoS-wasstraat’.6 Dit keer kwam er echter zóveel ongewenst bezoek naar de provinciewebsite toe, dat die maatregelen niet afdoende waren. Datzelfde geldt voor Noord-Brabant, dat nu extra stappen overweegt om herhaling te voorkomen.7
NoName claimde afgelopen jaar 63 cyberaanvallen8 op essentiële dienstverleners in Nederland, blijkt uit een analyse van Investico en De Groene Amsterdammer, mede voor Trouw, van alle Telegram-berichten van NoName. Eerder belaagde het bijvoorbeeld de Belastingdienst,9 het vliegveld Maastricht-Aachen,10 OV-chipkaart11 en verschillende Nederlandse havens.12 De groep reageert steeds expliciet op ‘anti-Russische acties’ van het westen. Toen Nederland afgelopen zomer bekendmaakte Leopard-1-tanks voor Oekraïne aan te schaffen,13 werden de websites van de Rotterdamse en Amsterdamse haven aangevallen. Tijdens een bezoek van Zelensky aan Nederland, tijdens Dodenherdenking, werd de website van de Staten-Generaal platgelegd.14 Ook elders in Europa ontkwamen banken, overheidsinstanties en andere vitale organisaties niet aan DDoS-aanvallen van de hackgroep.15
De impact van DDoS-aanvallen kan heel groot zijn, met uren- tot dagenlange storingen als gevolg, terwijl de aanvallen zelf heel eenvoudig uit te voeren zijn. ‘Daar heb je geen trollenleger of steun van Poetin voor nodig,’ zegt cybersecurity-expert Bert Hubert.16 Hij noemt de hackerswereld een soort ‘spiegelpaleis’, vol fluïditeit en valse opeisingen — waarin nauwelijks te verifiëren is wie er precies achter zo’n aanval schuilgaat. ‘Die aanvallen vinden plaats via duizenden, zo niet miljoenen apparaten: computers, printers, deurbellen, die vaak gehackt zijn.’
DDoS-aanvallen hebben ingrijpende gevolgen voor organisaties, die vaak geen andere keuze hebben dan dure commerciële diensten in te schakelen die gespecialiseerd zijn in het opvangen van deze ongewenste verkeersstromen. Vanwege de kosten van vaak duizenden euro’s per maand17 zijn organisaties terughoudend om preventieve maatregelen te nemen, totdat ze daadwerkelijk doelwit worden.
Met maatregelen is het volgens VVD-Europarlementariër Bart Groothuis, voorheen hoofd cybersecurity bij Defensie, ‘kinderlijk eenvoudig’ om het merendeel van de DDoS-aanvallen te pareren.18 Hij is kritisch op de kwetsbaarheden van sommige overheidswebsites. ‘Anno 2024 moet je dit echt goed ingericht hebben.’ Groothuis werkte afgelopen jaren als rapporteur mee aan een nieuwe Europese richtlijn (NIS2)19, die erop moet toezien dat bedrijven in kritieke sectoren als energie en gezondheidszorg, evenals overheidsinstellingen hun beveiliging op orde hebben. Organisaties die daar niet in voldoende in slagen, kunnen daar vanaf oktober voor beboet worden. Hoe dat er precies uit gaat zien is nog niet duidelijk: momenteel debatteert Den Haag over hoe die richtlijn omgezet wordt in nationale wetgeving.
De aanval vond plaats op maandag 25 maart 2024. Zie bijvoorbeeld berichtgeving nu.nl. ↩
Bericht in de Engelstalige Telegramgroep van NoName op 25 maart 2024: ‘While the Netherlands is handing over planes to Ukraine, we give local websites our "DDoS welcome"😉’ ↩
De groepen zijn openbaar, iedereen kan zich hiervoor aanmelden. Zie de Engelstalige groep hier en de Russische groep hier. ↩
Blijkt uit het eerste bericht in de Russischtalige Telegramgroep van NoName, 12 maart 2022. Vrij vertaald: In reactie op hun zielige inspanningen, voeren wij massale aanvallen uit op Oekraïense propagandistische bronnen die schaamteloos tegen mensen liegen over de speciale operatie van Rusland in Oekraïne, evenals op de websites van Oekraïense mislukte hackers die proberen het neonazistische regime van Zelensky te ondersteunen en de handjevol drugsverslaafden en nazi's uit zijn groep! ↩
Telefonisch gesprek op 26 maart 2024. ↩
Antwoord op onze schriftelijke vragen, 27 maart 2024. ↩
Antwoord op onze schriftelijke vragen, 26 maart 2024. ↩
We hebben 26 berichten uit de Engelstalige Telegram-groep getrokken die over aanvallen op Nederland gingen. Soms werden er meerdere berichten op één dag geplaatst. Het gaat uiteindelijk om 24 dagen waarop aanvallen op verschillende websites werden gedaan. In totaal gaat het om 63 websites. ↩
Bericht in de groep van 30 december 2023: ‘Authorization on the portal of services of the Tax Inspection of the Netherlands’ (bericht in de Telegramgroep van 30 dec), bericht in de groep van 30 januari 2024: ‘Authorization on the Dutch Tax Administration service portal’ ↩
‘Russische hackersgroep legt meerdere Nederlandse websites plat’, 7 augustus 2023, zie berichtgeving nu.nl. ↩
OV-Chipkaart wordt in 6 van de 26 berichten genoemd, vooral in 2024. ↩
In meerdere berichten komen de havens terug. Bij elkaar gaat het om de havens Den Helder, Delfzijl en Eemshaven, Rotterdam en Amsterdam. Voor die laatsten, zie bijvoorbeeld ook berichtgeving RTL van 14 juni 2023. ↩
‘Nederland koopt Leopard 1-tanks voor Oekraïne’, Ministerie van Defensie, 7 februari 2023. ↩
‘Website Staten-Generaal plat door ‘overbelasting”, 4 mei 2023, zie berichtgeving AG Connect. ↩
Blijkt uit de Telegramgroep, waarin recentelijk bijvoorbeeld een aanval op Roemeense doelen werd geclaimd vanwege de opbouw van een NAVO-basis in dat land. Zie bijvoorbeeld ook dit bericht over een geclaimde aanval op de websites van een aantal grote Italiaanse banken, dit bericht over een aanval op de website van de Franse senaat. ↩
Telefonisch interview, 26 maart 2024. ↩
Blijkt ook uit telefonisch interview met Bert Hubert, 26 maart 2024 ↩
Telefonisch interview, 26 maart 2024 ↩
Zie meer over de ‘Network and Information Security directive’ en de implementatie daarvan op deze overheidswebsite. ↩
Investico is radicaal transparant. In verantwoordingsdocumenten maken wij onze onderzoeksmethodes en resultaten openbaar zodat publiek en andere onderzoekers ons werk kunnen controleren en erop kunnen voortbouwen. In de longread van het onderzoek hieronder verwijzen noten naar het bronmateriaal. Wilt u meer weten over onze missie en methode? Lees meer
U las de longread van dit onderzoek. Heeft u naar aanleiding hiervan een tip? Neem contact met ons op
Onafhankelijke onderzoeksjournalistiek is onmisbaar in een democratie. Word nu Vriend van Investico en versterk de onderzoeksjournalistiek in Nederland.
